Introduction

Überwachen Sie das Windows-Ereignisprotokoll auf bestimmte Ereignis-IDs.

ℹ️ NOTE:Der Ereignisprotokoll-Monitor unterstützt derzeit nur Windows.

Ereignisprotokoll-Monitor

Level überwacht das Windows-Ereignisprotokoll auf verwalteten Geräten. Occurrences Zähler innerhalb des Duration Zeitfensters erreichen, wird eine Warnung ausgelöst.

Die Kombination von Vorkommen und Dauer macht dies nützlich.

Konfigurieren des Ereignisprotokoll-Monitors

Öffnen Sie die Zielüberwachungsrichtlinie und fügen Sie einen Ereignisprotokoll-Monitor hinzu. Monitor bearbeiten Bereich wird auf der rechten Seite geöffnet.

Name und Typ

Geben Sie einen Namen in dasName Feld ein. Beziehen Sie die Ereignis-ID und das ein.
Set Typ to Event log.

Schweregrad

Set Schweregradbasierend darauf, was die Ereignis-IDs im Kontext darstellen:

Information
Warnung
Kritisch
Notfall

Event IDs

Geben Sie eine oder mehrere Windows-Ereignis-IDs zum Überwachen ein.

💡 TIP:Sie können mehrere verwandte Ereignis-IDs in einem einzigen Monitor überwachen.

Log Name

Geben Sie den Namen des zu überwachenden Windows-Ereignisprotokolls ein.

Security Sicherheits- und Anmeldeereignisse
System Ereignisse auf Betriebssystemebene, Hardware, Treiber
Applicationvon der Anwendung generierte Ereignisse

Source

Source ist optional. Geben Sie einen Quellennamen ein.

Levels

Wählen Sie eine oder mehrere Ereignisprotokollebenen zum Abgleich aus.

Information
Warnung
Error
Kritisch
Verbose

Klicken Sie auf das Dropdown-Menü, um Ebenen hinzuzufügen. × neben einem Ebenen-Chip, um ihn zu entfernen. × auf der rechten Seite des Feldes, um alle Auswahl zu löschen.

ℹ️ NOTE: Windows-Ereignisprotokollebenen und Level-Warnungsschweregrad sind separate Konzepte. Levels Feld filtert, welche Ereignisprotokollinträge gezählt werden;Schweregradlegt die Priorität der Warnung fest.

Occurrences

Occurrences legt fest, wie viele zugehörige Ereignisse erkannt werden müssen.

Duration

Duration legt das Zeitfenster für die Zählung von Vorkommen fest. Minutes or Hours ; der Schieberegler legt den Wert fest.

💡 TIP:Passen Sie das Zeitfenster an das Bedrohungsmodell an.

Automatisch auflösen

Auto-resolve alert if it is no longer applicable ist für Ereignisprotokoll-Monitore standardmäßig deaktiviert.

Abhilfe

Fügen Sie eine oder mehrere Automatisierungen an.

Click in the Abhilfe Feld und wählen Sie eine Automatisierung aus.
Wenn Sie weitere hinzufügen möchten, klicken Sie+ Add another remediation .
Wenn Sie einen entfernen möchten, klicken Sie auf das× next to it.

ℹ️ NOTE:Korrektionen werden ausgeführt, wenn die Warnung erstellt wird.

Benachrichtigungen

Send notifications on alert creation Richtlinienempfänger erhalten eine E-Mail, wenn die Warnung ausgelöst wird
Send notifications on alert resolution Richtlinienempfänger erhalten eine E-Mail, wenn die Warnung aufgelöst wird

Die Empfänger werden auf der Ebene der Überwachungsrichtlinie verwaltet. Empfänger section.

Saving the Monitor

Click Update monitor um Änderungen zu speichern, oderAdd monitorbeim Hinzufügen eines neuen.

FAQ

Who can create and edit monitors?Techniker mit Zugriff auf die relevante Überwachungsrichtlinie.Workspace → Permissions .
Wo finde ich Ereignis-IDs für die Ereignisse, die ich überwachen möchte? Die Windows-Ereignisanzeige ist der schnellste Weg.
Kann ich dieselbe Ereignis-ID mit unterschiedlichen Schwellwerten überwachen? Ja — erstellen Sie separate Monitore für jeden Schwellwert.
Funktioniert der Ereignisprotokoll-Monitor auf macOS oder Linux? Nein — das Windows-Ereignisprotokoll ist eine nur für Windows verfügbare Funktion.
Was passiert mit offenen Ereignisprotokoll-Warnungen, wenn ich den Monitor lösche? Vorhandene Warnungen bleiben bestehen.

Verwandte Artikel

Skript-Monitor ausführen

Speichernutzungs-Monitor

Speicherauslastungs-Monitor

Prozess-Monitor

Service-Monitor